Nginx 在工作中已經有好幾個環境在使用了�����,每次都是重新去網上找博客�����,各種編譯配置,今天自己也整理一份安裝文檔和 nginx.conf 配置選項的說明�����,留作以后參考�����。
1. 安裝nginx
1.1 選擇穩定版本
我們編譯安裝nginx來定制自己的模塊,機器CentOS 6.2 x86_64。首先安裝缺少的依賴包:
# yum -y install gcc gcc-c++ make libtool zlib zlib-devel openssl openssl-devel pcre pcre-devel
這些軟件包如果yum上沒有的話可以下載源碼來編譯安裝�����,只是要注意編譯時默認安裝的目錄�����,確保下面在安裝nginx時能夠找到這些動態庫文件(ldconfig)。
下載穩定版到/usr/local/src下解壓�����。
為了后續準備我們另外下載2個插件模塊:nginx_upstream_check_module-0.3.0.tar.gz —— 檢查后端服務器的狀態,nginx-goodies-nginx-sticky-module-ng-bd312d586752.tar.gz(建議在/usr/local/src下解壓后將目錄重命名為nginx-sticky-module-ng-1.2.5) —— 后端做負載均衡解決session sticky問題(與upstream_check模塊結合使用需要另外打補丁�����,請參考nginx負載均衡配置實戰)�����。
請注意插件與nginx的版本兼容問題�����,一般插件越新越好�����,nginx不用追新�����,穩定第一�����。nginx-1.4.7�����,nginx-sticky-module-1.1�����,nginx_upstream_check_module-0.2.0�����,這個搭配也沒問題�����。sticky-1.1與nginx-1.6版本由于更新沒跟上編譯出錯�����。(可以直接使用Tengine�����,默認就包括了這些模塊)
[root@cachets nginx-1.6.3]# pwd/usr/local/src/nginx-1.6.3[root@cachets nginx-1.6.3]# ./configure --prefix=/usr/local/nginx-1.6 --with-pcre /> --with-http_stub_status_module --with-http_ssl_module /> --with-http_gzip_static_module --with-http_realip_module /> --add-module=../nginx_upstream_check_module-0.3.0[root@cachets nginx-1.6.3]# make && make install
1.2 常用編譯選項說明
nginx大部分常用模塊�����,編譯時./configure --help以--without開頭的都默認安裝�����。
- --prefix=PATH : 指定nginx的安裝目錄�����。默認 /usr/local/nginx
- --conf-path=PATH : 設置nginx.conf配置文件的路徑。nginx允許使用不同的配置文件啟動�����,通過命令行中的-c選項�����。默認為prefix/conf/nginx.conf
- --user=name: 設置nginx工作進程的用戶�����。安裝完成后�����,可以隨時在nginx.conf配置文件更改user指令。默認的用戶名是nobody�����。--group=name類似
- --with-pcre : 設置PCRE庫的源碼路徑�����,如果已通過yum方式安裝,使用--with-pcre自動找到庫文件�����。使用--with-pcre=PATH時�����,需要從PCRE網站下載pcre庫的源碼(版本4.4 – 8.30)并解壓�����,剩下的就交給Nginx的./configure和make來完成。perl正則表達式使用在location指令和 ngx_http_rewrite_module模塊中�����。
- --with-zlib=PATH : 指定 zlib(版本1.1.3 – 1.2.5)的源碼解壓目錄。在默認就啟用的網絡傳輸壓縮模塊ngx_http_gzip_module時需要使用zlib �����。
- --with-http_ssl_module : 使用https協議模塊�����。默認情況下,該模塊沒有被構建�����。前提是openssl與openssl-devel已安裝
- --with-http_stub_status_module : 用來監控 Nginx 的當前狀態
- --with-http_realip_module : 通過這個模塊允許我們改變客戶端請求頭中客戶端IP地址值(例如X-Real-IP 或 X-Forwarded-For),意義在于能夠使得后臺服務器記錄原始客戶端的IP地址
- --add-module=PATH : 添加第三方外部模塊�����,如nginx-sticky-module-ng或緩存模塊�����。每次添加新的模塊都要重新編譯(Tengine可以在新加入module時無需重新編譯)
再提供一種編譯方案:
./configure /> --prefix=/usr /> --sbin-path=/usr/sbin/nginx /> --conf-path=/etc/nginx/nginx.conf /> --error-log-path=/var/log/nginx/error.log /> --http-log-path=/var/log/nginx/access.log /> --pid-path=/var/run/nginx/nginx.pid /> --lock-path=/var/lock/nginx.lock /> --user=nginx /> --group=nginx /> --with-http_ssl_module /> --with-http_stub_status_module /> --with-http_gzip_static_module /> --http-client-body-temp-path=/var/tmp/nginx/client/ /> --http-proxy-temp-path=/var/tmp/nginx/proxy/ /> --http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ /> --http-uwsgi-temp-path=/var/tmp/nginx/uwsgi /> --with-pcre=../pcre-7.8> --with-zlib=../zlib-1.2.3
1.3 啟動關閉nginx
## 檢查配置文件是否正確# /usr/local/nginx-1.6/sbin/nginx -t# ./sbin/nginx -V # 可以看到編譯選項 ## 啟動�����、關閉# ./sbin/nginx # 默認配置文件 conf/nginx.conf�����,-c 指定# ./sbin/nginx -s stop或 pkill nginx ## 重啟�����,不會改變啟動時指定的配置文件# ./sbin/nginx -s reload或 kill -HUP `cat /usr/local/nginx-1.6/logs/nginx.pid`
當然也可以將 nginx 作為系統服務管理�����,下載 nginx 到/etc/init.d/�����,修改里面的路徑然后賦予可執行權限�����。
# service nginx {start|stop|status|restart|reload|configtest} 1.4 yum安裝
yum安裝rpm包會比編譯安裝簡單很多�����,默認會安裝許多模塊,但缺點是如果你想以后安裝第三方模塊那就沒辦法了�����。
# vi /etc/yum.repo.d/nginx.repo[nginx]name=nginx repobaseurl=http://nginx.org/packages/centos/$releasever/$basearch/gpgcheck=0enabled=1
剩下的就yum install nginx搞定�����,也可以yum install nginx-1.6.3安裝指定版本(前提是你去packages里看到有對應的版本�����,默認是最新版穩定版)�����。
2. nginx.conf配置文件
Nginx配置文件主要分成四部分:main(全局設置)�����、server(主機設置)�����、upstream(上游服務器設置�����,主要為反向代理、負載均衡相關配置)和 location(URL匹配特定位置后的設置)�����,每部分包含若干個指令。main部分設置的指令將影響其它所有部分的設置�����;server部分的指令主要用于指定虛擬主機域名�����、IP和端口�����;upstream的指令用于設置一系列的后端服務器�����,設置反向代理及后端服務器的負載均衡�����;location部分用于匹配網頁位置(比如,根目錄“/”,“/images”,等等)。他們之間的關系式:server繼承main�����,location繼承server;upstream既不會繼承指令也不會被繼承�����。它有自己的特殊指令�����,不需要在其他地方的應用。
當前nginx支持的幾個指令上下文:
2.1 通用
下面的nginx.conf簡單的實現nginx在前端做反向代理服務器的例子�����,處理js�����、png等靜態文件�����,jsp等動態請求轉發到其它服務器tomcat:
user www www;worker_processes 2; error_log logs/error.log;#error_log logs/error.log notice;#error_log logs/error.log info; pid logs/nginx.pid; events {use epoll;worker_connections 2048;} http {include mime.types;default_type application/octet-stream; #log_format main '$remote_addr - $remote_user [$time_local] "$request" '# '$status $body_bytes_sent "$http_referer" '# '"$http_user_agent" "$http_x_forwarded_for"'; #access_log logs/access.log main; sendfile on;# tcp_nopush on; keepalive_timeout 65; # gzip壓縮功能設置gzip on;gzip_min_length 1k;gzip_buffers 4 16k;gzip_http_version 1.0;gzip_comp_level 6;gzip_types text/html text/plain text/css text/javascript application/json application/javascript application/x-javascript application/xml;gzip_vary on; # http_proxy 設置client_max_body_size 10m;client_body_buffer_size 128k;proxy_connect_timeout 75;proxy_send_timeout 75;proxy_read_timeout 75;proxy_buffer_size 4k;proxy_buffers 4 32k;proxy_busy_buffers_size 64k;proxy_temp_file_write_size 64k;proxy_temp_path /usr/local/nginx/proxy_temp 1 2; # 設定負載均衡后臺服務器列表upstream backend {#ip_hash;server 192.168.10.100:8080 max_fails=2 fail_timeout=30s ;server 192.168.10.101:8080 max_fails=2 fail_timeout=30s ;} # 很重要的虛擬主機配置server {listen 80;server_name itoatest.example.com;root /apps/oaapp; charset utf-8;access_log logs/host.access.log main; #對 / 所有做負載均衡+反向代理location / {root /apps/oaapp;index index.jsp index.html index.htm; proxy_pass http://backend;proxy_redirect off;# 后端的Web服務器可以通過X-Forwarded-For獲取用戶真實IPproxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504; } #靜態文件�����,nginx自己處理�����,不去backend請求tomcatlocation ~* /download/ {root /apps/oa/fs; }location ~ .*/.(gif|jpg|jpeg|bmp|png|ico|txt|js|css)${root /apps/oaapp;expires 7d;}location /nginx_status {stub_status on;access_log off;allow 192.168.10.0/24;deny all;} location ~ ^/(WEB-INF)/ {deny all;}#error_page 404 /404.html; # redirect server error pages to the static page /50x.html#error_page 500 502 503 504 /50x.html;location = /50x.html {root html;}} ## 其它虛擬主機�����,server 指令開始} 2.2 常用指令說明
2.2.1 main全局配置
nginx在運行時與具體業務功能(比如http服務或者email服務代理)無關的一些參數�����,比如工作進程數,運行的身份等�����。
1�����、woker_processes 2
在配置文件的頂級main部分,worker角色的工作進程的個數�����,master進程是接收并分配請求給worker處理。這個數值簡單一點可以設置為cpu的核數grep ^processor /proc/cpuinfo | wc -l�����,也是 auto 值�����,如果開啟了ssl和gzip更應該設置成與邏輯CPU數量一樣甚至為2倍�����,可以減少I/O操作�����。如果nginx服務器還有其它服務�����,可以考慮適當減少�����。
2�����、worker_cpu_affinity
也是寫在main部分�����。在高并發情況下�����,通過設置cpu粘性來降低由于多CPU核切換造成的寄存器等現場重建帶來的性能損耗。如worker_cpu_affinity 0001 0010 0100 1000; (四核)�����。
3�����、worker_connections 2048
寫在events部分�����。每一個worker進程能并發處理(發起)的最大連接數(包含與客戶端或后端被代理服務器間等所有連接數)�����。nginx作為反向代理服務器�����,計算公式 最大連接數 = worker_processes * worker_connections/4�����,所以這里客戶端最大連接數是1024,這個可以增到到8192都沒關系�����,看情況而定�����,但不能超過后面的worker_rlimit_nofile�����。當nginx作為http服務器時�����,計算公式里面是除以2�����。
4�����、worker_rlimit_nofile 10240
寫在main部分�����。默認是沒有設置�����,可以限制為操作系統最大的限制65535�����。
5�����、use epoll
寫在events部分�����。在Linux操作系統下�����,nginx默認使用epoll事件模型,得益于此�����,nginx在Linux操作系統下效率相當高�����。同時Nginx在OpenBSD或FreeBSD操作系統上采用類似于epoll的高效事件模型kqueue�����。在操作系統不支持這些高效模型時才使用select�����。
2.2.2 http服務器
與提供http服務相關的一些配置參數�����。例如:是否使用keepalive啊�����,是否使用gzip進行壓縮等�����。
- sendfile o:開啟高效文件傳輸模式�����,sendfile指令指定nginx是否調用sendfile函數來輸出文件�����,減少用戶空間到內核空間的上下文切換�����。對于普通應用設為 on�����,如果用來進行下載等應用磁盤IO重負載應用�����,可設置為off�����,以平衡磁盤與網絡I/O處理速度�����,降低系統的負載。
- keepalive_timeout 65 : 長連接超時時間�����,單位是秒,這個參數很敏感�����,涉及瀏覽器的種類�����、后端服務器的超時設置�����、操作系統的設置�����,可以另外起一片文章了�����。長連接請求大量小文件的時候�����,可以減少重建連接的開銷�����,但假如有大文件上傳�����,65s內沒上傳完成會導致失敗�����。如果設置時間過長�����,用戶又多,長時間保持連接會占用大量資源�����。
- send_timeout : 用于指定響應客戶端的超時時間�����。這個超時僅限于兩個連接活動之間的時間,如果超過這個時間��,客戶端沒有任何活動����,Nginx將會關閉連接。
- client_max_body_size 10m:允許客戶端請求的最大單文件字節數����。如果有上傳較大文件��,請設置它的限制值
- client_body_buffer_size 128k:緩沖區代理緩沖用戶端請求的最大字節數
模塊http_proxy:
這個模塊實現的是nginx作為反向代理服務器的功能��,包括緩存功能(另見文章)
- proxy_connect_timeout 60:nginx跟后端服務器連接超時時間(代理連接超時)
- proxy_read_timeout 60:連接成功后����,與后端服務器兩個成功的響應操作之間超時時間(代理接收超時)
- proxy_buffer_size 4k:設置代理服務器(nginx)從后端realserver讀取并保存用戶頭信息的緩沖區大小�����,默認與proxy_buffers大小相同�����,其實可以將這個指令值設的小一點
- proxy_buffers 4 32k:proxy_buffers緩沖區��,nginx針對單個連接緩存來自后端realserver的響應����,網頁平均在32k以下的話�����,這樣設置
- proxy_busy_buffers_size 64k:高負荷下緩沖大?����。╬roxy_buffers*2)
- proxy_max_temp_file_size:當 proxy_buffers 放不下后端服務器的響應內容時�����,會將一部分保存到硬盤的臨時文件中,這個值用來設置最大臨時文件大小����,默認1024M�����,它與 proxy_cache 沒有關系�����。大于這個值����,將從upstream服務器傳回����。設置為0禁用。
- proxy_temp_file_write_size 64k:當緩存被代理的服務器響應到臨時文件時����,這個選項限制每次寫臨時文件的大小����。proxy_temp_path(可以在編譯的時候)指定寫到哪那個目錄����。
proxy_pass�����,proxy_redirect見 location 部分�����。
模塊http_gzip:
- gzip on : 開啟gzip壓縮輸出�����,減少網絡傳輸��。
- gzip_min_length 1k : 設置允許壓縮的頁面最小字節數���,頁面字節數從header頭得content-length中進行獲取。默認值是20��。建議設置成大于1k的字節數���,小于1k可能會越壓越大�����。
- gzip_buffers 4 16k : 設置系統獲取幾個單位的緩存用于存儲gzip的壓縮結果數據流。4 16k代表以16k為單位�����,安裝原始數據大小以16k為單位的4倍申請內存�����。
- gzip_http_version 1.0 : 用于識別 http 協議的版本�,早期的瀏覽器不支持 Gzip 壓縮��,用戶就會看到亂碼����,所以為了支持前期版本加上了這個選項��,如果你用了 Nginx 的反向代理并期望也啟用 Gzip 壓縮的話����,由于末端通信是 http/1.0,故請設置為 1.0��。
- gzip_comp_level 6 : gzip壓縮比�����,1壓縮比最小處理速度最快�����,9壓縮比最大但處理速度最慢(傳輸快但比較消耗cpu)
- gzip_types :匹配mime類型進行壓縮��,無論是否指定,”text/html”類型總是會被壓縮的����。
- gzip_proxied any : Nginx作為反向代理的時候啟用,決定開啟或者關閉后端服務器返回的結果是否壓縮�����,匹配的前提是后端服務器必須要返回包含”Via”的 header頭���。
- gzip_vary on : 和http頭有關系�����,會在響應頭加個 Vary: Accept-Encoding ��,可以讓前端的緩存服務器緩存經過gzip壓縮的頁面,例如�����,用Squid緩存經過Nginx壓縮的數據�����。�����。
2.2.3 server虛擬主機
http服務上支持若干虛擬主機。每個虛擬主機一個對應的server配置項����,配置項里面包含該虛擬主機相關的配置。在提供mail服務的代理時����,也可以建立若干server�����。每個server通過監聽地址或端口來區分����。
1�����、listen
監聽端口�����,默認80�����,小于1024的要以root啟動�����??梢詾閘isten *:80�、listen 127.0.0.1:80等形式。
2�、server_name
服務器名����,如localhost、www.example.com�����,可以通過正則匹配���。
模塊http_stream
這個模塊通過一個簡單的調度算法來實現客戶端IP到后端服務器的負載均衡�����,upstream后接負載均衡器的名字�����,后端realserver以 host:port options; 方式組織在 {} 中����。如果后端被代理的只有一臺,也可以直接寫在 proxy_pass ����。
2.2.4 location
http服務中,某些特定的URL對應的一系列配置項�。
- root /var/www/html:定義服務器的默認網站根目錄位置。如果locationURL匹配的是子目錄或文件����,root沒什么作用,一般放在server指令里面或/下����。
- index index.jsp index.html index.htm:定義路徑下默認訪問的文件名,一般跟著root放
- proxy_pass http:/backend:請求轉向backend定義的服務器列表����,即反向代理,對應upstream負載均衡器����。也可以proxy_pass http://ip:port����。
- proxy_redirect off;
- proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
這四個暫且這樣設����,如果深究的話,每一個都涉及到很復雜的內容����,也將通過另一篇文章來解讀。
關于location匹配規則的寫法�����,可以說尤為關鍵且基礎的��,參考文章 nginx配置location總結及rewrite規則寫法;
2.3 其它
2.3.1 訪問控制 allow/deny
Nginx 的訪問控制模塊默認就會安裝���,而且寫法也非常簡單�����,可以分別有多個allow,deny����,允許或禁止某個ip或ip段訪問����,依次滿足任何一個規則就停止往下匹配。如:
location /nginx-status {stub_status on;access_log off;# auth_basic "NginxStatus";# auth_basic_user_file /usr/local/nginx-1.6/htpasswd; allow 192.168.10.100;allow 172.29.73.0/24;deny all;} 我們也常用 httpd-devel 工具的 htpasswd 來為訪問的路徑設置登錄密碼:
# htpasswd -c htpasswd adminNew passwd:Re-type new password:Adding password for user admin # htpasswd htpasswd admin //修改admin密碼# htpasswd htpasswd sean //多添加一個認證用戶
這樣就生成了默認使用CRYPT加密的密碼文件����。打開上面nginx-status的兩行注釋,重啟nginx生效�����。
2.3.2 列出目錄 autoindex
Nginx默認是不允許列出整個目錄的����。如需此功能,打開nginx.conf文件����,在location,server 或 http段中加入autoindex on;����,另外兩個參數最好也加上去:
- autoindex_exact_size off; 默認為on����,顯示出文件的確切大小����,單位是bytes。改為off后�,顯示出文件的大概大小,單位是kB或者MB或者GB
- autoindex_localtime on;
默認為off�,顯示的文件時間為GMT時間。改為on后����,顯示的文件時間為文件的服務器時間
location /images {root /var/www/nginx-default/images;autoindex on;autoindex_exact_size off;autoindex_localtime on;}
